암호 복잡도 강제 규칙의 우선순위는 어디쯤인가?
ITGC 진행하면서 또 암호 설정 시 복잡도 규칙을 추가하라는 가이드가 나왔다. - 영문, 숫자, 특수문자 조합하여 8자리 이상 무차별대입 공격의 대비인데, 현 시점에 웬만한 서비스는 로그인 누적실패에 따른 재시도 횟수제한이 있다. 만약 없다면, 이 장치의 마련이 최우선이다! 이런 장치가 미비하던 시절에는 아래와 유사한 표를 보여주며 '해커가 암호를 알아내는데 몇 초~ 몇 년 걸린다.' 하는 식으로 논리를 전개했었다. 조합별 경우의 수 (단위: 조) 물론 재시도 횟수제한이 없는 개인 엑셀파일이나, 탈취된 인증서 같은 경우, 무한한 부르트포스 공격이 가능하기 때문에 위와 같은 전략이 유효하다. 하지만 2022년 현 시점에 웹서비스 가입자에게 그리 중요한 포인트는 아니다. 다행히 2019년 개편된 KISA 가이드에는 이 복잡도 부분이 약간 완화되고, 다른 사회적 요인들에 대한 부분이 추가되었다. 종합적 사고 없이 보수적으로 들이대는 관습적인 잣대를 경계해야한다.